ISO 27001 vs Pematuhan Tempatan: Memetakan Kawalan ke RMiT dan PDPA
ISO 27001:2022 ialah piawaian antarabangsa untuk Sistem Pengurusan Keselamatan Maklumat (ISMS). Bagi organisasi Malaysia, ia boleh dijadikan asas teknikal yang memudahkan pematuhan BNM RMiT dan PDPA. Artikel ini meneliti persamaan dan perbezaan antara ketiga-tiga rangka, kelebihan pendekatan ISMS bersepadu, jadual pemetaan kawalan terperinci, dan anggaran kos serta jangka masa pensijilan.
Pengenalan kepada tiga rangka kerja
ISO 27001:2022 ialah piawaian ISMS antarabangsa yang mendefinisikan keperluan untuk mewujudkan, melaksanakan, mengekalkan dan memperbaiki sistem pengurusan keselamatan maklumat. Versi 2022 mengemas kini Annex A kepada 93 kawalan dalam 4 tema (organisasi, manusia, fizikal, teknologi).
BNM RMiT ialah dasar mandatori untuk institusi kewangan Malaysia yang menetapkan jangkaan kawalan teknologi. PDPA Malaysia (versi pindaan 2024) menumpukan kepada perlindungan data peribadi. Walaupun skop berbeza, banyak kawalan asas — seperti kawalan akses, kriptografi dan pengurusan insiden — bertindih.
Persamaan dan perbezaan
Persamaan utama: ketiga-tiga rangka menjangkakan organisasi mempunyai polisi keselamatan bertulis, kawalan akses berasaskan peranan, kriptografi yang sesuai, pemantauan dan log, pelan respons insiden, dan pengurusan vendor.
Perbezaan: ISO 27001 berfokus kepada sistem pengurusan dan boleh disesuaikan kepada apa-apa organisasi. RMiT lebih spesifik kepada teknologi institusi kewangan. PDPA berfokus kepada hak subjek data dan perlindungan data peribadi secara khusus.
Kelebihan ISMS bersepadu
Organisasi yang tertakluk kepada berbilang rangka kerja sering jatuh ke perangkap membina program pematuhan berasingan untuk setiap satu — menyebabkan polisi berganda, kerja audit berlebihan dan kekeliruan kakitangan. Pendekatan ISMS bersepadu mengelakkan ini dengan satu set polisi, prosedur dan kawalan yang dipetakan kepada pelbagai rangka.
ISO 27001 adalah asas yang sangat baik kerana ia diiktiraf antarabangsa, kaya dengan templat dan tooling, dan boleh diauditkan oleh banyak juruaudit bertauliah. RMiT dan PDPA boleh dipetakan ke atas ISMS ISO sebagai 'rangka khusus tempatan'.
Jadual pemetaan kawalan utama
Jadual berikut memetakan kawalan terpilih ISO 27001:2022 Annex A dengan keperluan yang setara dalam RMiT dan PDPA. Ini adalah pemetaan ringkas — pemetaan penuh memerlukan analisis terperinci oleh juruaudit bertauliah.
| Kawalan ISO 27001:2022 | Keperluan setara RMiT | Keperluan setara PDPA |
|---|---|---|
| A.5.1 Polisi keselamatan maklumat | Tadbir urus teknologi: polisi diluluskan Lembaga | Polisi privasi diterbitkan kepada subjek data |
| A.5.7 Risikan ancaman | Pengurusan risiko siber: cyber threat intelligence | Tiada keperluan langsung (amalan terbaik) |
| A.5.15 Kawalan akses | Pengurusan akses dan keistimewaan | Kawalan akses kepada data peribadi (Prinsip Keselamatan) |
| A.5.23 Keselamatan perkhidmatan awan | Outsourcing & cloud risk management | Transfer rentas sempadan data peribadi |
| A.5.24-25 Pengurusan insiden | Pelan respons insiden + lapor BNM/MaCERT | DBN — notifikasi pelanggaran data 72 jam |
| A.5.30 ICT readiness BCM | BCM dan DRP — RTO/RPO, ujian failover | Pengekalan data peribadi semasa insiden |
| A.5.34 Privasi dan perlindungan PII | Tiada keperluan langsung | Prinsip Umum PDPA — pemprosesan adil |
| A.6.3 Latihan kesedaran keselamatan | Latihan staf teknologi & pengguna akhir | Latihan kakitangan tentang perlindungan data |
| A.7 Kawalan fizikal | DCRA — penilaian risiko pusat data | Keselamatan fizikal lokasi penyimpanan data |
| A.8.7 Perlindungan terhadap malware | Kawalan teknikal asas RMiT | Prinsip Keselamatan PDPA |
| A.8.12 Pencegahan kebocoran data (DLP) | Pengurusan risiko siber: DLP terutama untuk data pelanggan | Perlindungan terhadap pendedahan tidak sah |
| A.8.15 Pengelogan | SOC 24/7, retention log keselamatan | Audit trail akses data peribadi |
| A.8.24 Penggunaan kriptografi | Enkripsi data transit & rehat | Langkah teknikal perlindungan data peribadi |
| A.8.25-26 Kitar hayat pembangunan selamat | Secure SDLC — DevSecOps | Privacy by Design |
| A.8.28 Pengekodan selamat | Kawalan aplikasi web banking & mobile | Tiada keperluan langsung (amalan terbaik) |
| A.8.34 Perlindungan semasa audit | Akses juruaudit BNM yang terkawal | Audit oleh Pesuruhjaya PDP |
Kos dan jangka masa pensijilan ISO 27001
Pensijilan ISO 27001 melibatkan dua peringkat utama: pelaksanaan (gap assessment, pembinaan ISMS, latihan, audit dalaman) dan pensijilan luaran (Stage 1 dan Stage 2 oleh badan pensijilan bertauliah).
Jangka masa biasa: 9-18 bulan dari permulaan hingga sijil. Kos berbeza-beza mengikut saiz dan kompleksiti — organisasi kecil mungkin RM 80,000-150,000, organisasi besar boleh melebihi RM 300,000 (termasuk yuran konsultan dan badan pensijilan).
Selepas pensijilan, surveillance audit tahunan dan re-pensijilan setiap 3 tahun diperlukan untuk mengekalkan status.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
- Gap assessment awal: 4-6 minggu
- Pelaksanaan ISMS: 6-12 bulan
- Audit dalaman: 4 minggu
- Stage 1 audit (dokumentasi): 1-2 hari
- Stage 2 audit (pelaksanaan): 3-7 hari mengikut saiz
- Surveillance: tahunan
- Re-pensijilan: setiap 3 tahun
Bila ISO 27001 sangat berguna untuk Malaysia
ISO 27001 paling berguna untuk: (a) fintech yang ingin menjual ke bank atau ekspansi serantau, (b) pembekal teknologi yang ingin lulus due diligence kerajaan/MNC, (c) institusi kewangan yang sudah perlu mematuhi RMiT — ISO menjadi 'bonus' untuk pasaran luar Malaysia, (d) hospital dan organisasi data peribadi sensitif yang ingin menunjukkan komitmen kepada perlindungan data.
nCrypt Malaysia membantu organisasi dengan konsultansi ISO 27001 hujung-ke-hujung, daripada gap assessment hingga sokongan audit pensijilan. Sila rujuk /services/isms-iso-27001-consultancy.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah ISO 27001 mencukupi untuk pematuhan RMiT?
Tidak sepenuhnya — RMiT mempunyai keperluan khusus yang melampaui ISO (cth DCRA, kawalan sektor kewangan). Walau bagaimanapun, ISMS ISO yang matang meliputi sebahagian besar keperluan teknikal RMiT.
Adakah ISO 27701 atau ISO 27001 lebih baik untuk PDPA?
ISO 27701 ialah lanjutan ISO 27001 yang khusus untuk privasi. Bagi organisasi yang memberi tumpuan kepada perlindungan data peribadi, kombinasi ISO 27001 + 27701 sangat berkesan untuk pematuhan PDPA.
Bolehkah kami mendapat sijil ISO 27001 tanpa konsultan?
Boleh, tetapi sukar bagi organisasi pertama kali. Konsultan berpengalaman mempercepatkan proses dan mengurangkan risiko gagal audit Stage 2.
Adakah sijil ISO diiktiraf oleh BNM?
BNM tidak menggantikan keperluan RMiT dengan sijil ISO. Walau bagaimanapun, sijil ISO yang sah menunjukkan kematangan ISMS dan dipandang positif semasa penyeliaan.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.